※ [本文转录自 AntiVirus 看板 #1Qqqltlq ] 作者: Allen0315 (老艾) 看板: AntiVirus 标题: Fw: [新闻] 资安研究：程式码注入不稀奇，「早鸟」程式码注入兴起 时间: Sun Apr 15 20:56:22 2018 ※ [本文转录自 Gossiping 看板 #1QqqkZTd ] 作者: saiulbb (Becky♪＃是我的拉!) 看板: Gossiping 标题: [新闻] 资安研究：程式码注入不稀奇，「早鸟」程式码注入兴起 时间: Sun Apr 15 20:54:56 2018 1.媒体来源: ※ 例如苹果日报、奇摩新闻 ithome 2.完整新闻标题: ※ 标题没有写出来 ---> 依照板规删除文章 资安研究：程式码注入不稀奇，「早鸟」程式码注入兴起 Early Bird手法却是於执行绪初始化非常早期的阶段，在许多防毒软体还没部署Hook前就 载入恶意程式码，而能在不被侦测到的状态下展开恶意行动 3.完整新闻内文: ※ 社论特稿都不能贴! 违者删除(政治类水桶3个月)，贴广告也会被删除喔! 文/陈晓莉 | 2018-04-14发表 有不少恶意程式都会利用程式码注入（Code Injection）技术把恶意程式嵌入合法的程序 中以躲避侦测，同时资安业者也发展出相对应的Hook机制来找出它们，不过，资安业者 Cyberbit本周揭露了一款新的程式码注入方式，它能在Hook机制运作前就载入恶意程式， 因而被命名为「早鸟」（Early Bird）程式码注入技术。 恶意程式的程式码注入流程是先设立一个伪造的合法程序，把恶意程式与异步过程调用（ APC）置入该程序，之後重新开始程序的主要执行绪以执行APC。另一方面，防毒软体则为 此设计了Hook功能，可监控API的呼叫以辨识恶意活动。 然而，Early Bird手法却是於执行绪初始化非常早期的阶段，在许多防毒软体还没部署 Hook前就载入恶意程式码，而能在不被侦测到的状态下展开恶意行动。 Cyberbit表示，目前已发现多款采用早鸟程式注入手法的恶意程式，包括伊朗骇客集团 APT33所撰写的TurnedUp後门程式，以及可用来执行阻断服务攻击或窃取密码的通用恶意 程式DorkBot。其中，去年9月才曝光的TurnedUp能够窃取资料、建立反向Shell、拍摄萤 幕画面及收集系统讯息等。 4.完整新闻连结 (或短网址): ※ 当新闻连结过长时，需提供短网址方便网友点击 https://www.ithome.com.tw/news/122420 5. 备注： ※ 一个人一天只能张贴一则新闻，被删或自删也算额度内，超贴者水桶，请注意 早鸟(Early Bird)程式码注入：在Hook机制运作前就载入恶意程式。 --

※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 61.56.143.149 ※ 文章网址: https://webptt.com/cn.aspx?n=bbs/Gossiping/M.1523796899.A.767.html

※ 发信站: 批踢踢实业坊(ptt.cc) ※ 转录者: Allen0315 (220.141.117.245), 04/15/2018 20:56:22

※ 发信站: 批踢踢实业坊(ptt.cc) ※ 转录者: skycat2216 (59.105.105.235), 04/16/2018 17:34:28